Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte um Hilfe - Trojaner gefunden!

Bitte um Hilfe - Trojaner gefunden!


Log-Analyse und Auswertung: Bitte um Hilfe - Trojaner gefunden!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 13.10.2009, 09:57   #1
baerliner
 
Bitte um Hilfe - Trojaner gefunden! - Standard

Bitte um Hilfe - Trojaner gefunden!


Hallo,

ja das habe ich auch bemerkt das mein System verseucht ist. Das Löschen der verdächtigen Programme geht nicht im Win-betrieb. Abgesicherter Modus kann nicht gestartet werden. Evtl. von Bart XPE booten und von dort aus versuchen zu löschen?

Kaspersky schlägt bei folgenden Alarm:

13.10.2009 10:22:24 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse jsactivity.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS

13.10.2009 10:16:55 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse bfkq.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS

Servises.exe konnte ich manuell löschen. bei virustotal wurden keine ergebnisse gefunden.

Virus Total:
- überprüfen der Datei fastnetsry.exe

Datei FastNetSrv.exe empfangen 2009.10.13 08:34:48 (UTC)
Status: Laden ... Überprüfung Beendet Ergebnis: 7/41 (17.08%)

BitDefender 7.2 2009.10.13 Gen:Trojan.Heur.fG0@SsKHqIfb
Comodo 2591 2009.10.13 Backdoor.Win32.Refpron.~B
GData 19 2009.10.13 Gen:Trojan.Heur.fG0@SsKHqIfb
McAfee-GW-Edition 6.8.5 2009.10.13 Heuristic.LooksLike.Trojan.Backdoor.Delf.H
NOD32 4501 2009.10.12 a variant of Win32/Refpron.AF
Rising 21.51.12.00 2009.10.13 Backdoor.Win32.Meb.a

weitere Informationen
File size: 95232 bytes
MD5...: 665cc98c05a439f2370852cdb0b77f52
SHA1..: ea98ff389e3cf9145f52dbc0efc51f2b26572cfe
SHA256: fc6c307e68ebe1c61c534834c100f273245cc39cf6bca81b662139f9434c6077
ssdeep: 1536:75qDEOZN6zD2Fu/lXG7sTzORP6rLxWjSW3fODDwo6UuPhl9o:sw7863ENmH
wNll9o
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13228
timedatestamp.....: 0xc0d875e6L (invalid)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x12280 0x12400 6.43 f4055a75993aa7f9f33916591ac13179
DATA 0x14000 0x794 0x800 4.24 d3529d8e031288af6791b5e33da740f3
BSS 0x15000 0xb3d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x16000 0x8a2 0xa00 4.25 e045a960aa991b87dfa5196ca11451eb
.tls 0x17000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x18000 0x18 0x200 0.20 3668967f26843d0bc049b1b675038ba5
.reloc 0x19000 0x19ec 0x1a00 6.67 99cff54aac5fff381b217a3188e1e1a5
.rsrc 0x1b000 0x6c00 0x1e00 5.02 716065761efedfa3c6612e36c0d38003

( 7 imports )
> kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle
> user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysFreeString, SysReAllocStringLen, SysAllocStringLen
> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, GetModuleFileNameA
> kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEndOfFile, ReadFile, LoadLibraryExW, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetDiskFreeSpaceA, GetCurrentThreadId, GetCPInfo, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle
> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, DestroyWindow

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
sigcheck:
publisher....: Sigma Designs Inc
copyright....: n/a
product......: Swap Filter
description..: Sigma Designs PCM Swap Filter
original name: n/a
internal name: n/a
file version.: 5. 3. 174
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


Datei sc.exe empfangen 2009.10.13 08:40:53 (UTC)
Status:Überprüfung Beendet
Ergebnis: 10/41 (24.4%)

a-squared 4.5.0.41 2009.10.13 Trojan.Win32.Vilsel.gyl!A2
AntiVir 7.9.1.35 2009.10.13 HEUR/Malware
BitDefender 7.2 2009.10.13 Gen:Trojan.Heur.wmGfvPZhUQhOx
CAT-QuickHeal 10.00 2009.10.12 Trojan.Agent.ATV
eSafe 7.0.17.0 2009.10.12 Suspicious File
GData 19 2009.10.13 Gen:Trojan.Heur.wmGfvPZhUQhOx
McAfee 5769 2009.10.12 Generic.dx!fma
McAfee-GW-Edition 6.8.5 2009.10.13 Heuristic.LooksLike.Win32.Suspicious.C!81
NOD32 4501 2009.10.12 Win32/TrojanDownloader.FakeAlert.AKC

weitere Informationen
File size: 364032 bytes
MD5...: 7ea85666197e711f828ee2458f4c084f
SHA1..: 9afc55518adb3d6f33bb50f1f801f231b2eff8e0
SHA256: 77e8b6d9fac205847c0d2de532b52fb0241146eae8b0c10bfde3fe87310e4037
ssdeep: 61442YpeaSMZoLTrlCE8AIoYCeZwirzNcppFS90J/5DmpID72KVrYtJJ1e3F
9mIEOBR2VS9EBDmoEtDk
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc34e0
timedatestamp.....: 0xc0d875e6L (invalid)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x6d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6e000 0x56000 0x55800 7.91 96e0326e060b2c404ce066154b4e0eb0
.rsrc 0xc4000 0x8000 0x3200 3.91 ac1521edaa632bd71635faa666a8d7a4

( 11 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> advapi32.dll: RegFlushKey
> comctl32.dll: ImageList_Add
> gdi32.dll: SaveDC
> ole32.dll: IsEqualGUID
> oleaut32.dll: VariantClear
> shell32.dll: Shell_NotifyIconA
> user32.dll: GetDC
> version.dll: VerQueryValueA
> winmm.dll: PlaySoundA
> winspool.drv: OpenPrinterA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (38.5%)
Win32 EXE Yoda's Crypter (33.4%)
Win32 Executable Generic (10.7%)
Win32 Dynamic Link Library (generic) (9.5%)
Win16/32 Executable Delphi generic (2.6%)
packers (F-Prot): UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch.UPX, UPX


Datei 5ED29D8100A0611B70260072A07F03000287AE6A.dll empfangen 2009.10.10 23:27:21 (UTC)
Status: Beendet
Ergebnis: 4/41 (9.76%)
(msxn193z.dll)

Authentium 5.1.2.4 2009.10.10 W32/Bongler-based!Maximus
F-Prot 4.5.1.85 2009.10.10 W32/Bongler-based!Maximus
Prevx 3.0 2009.10.11 Medium Risk Malware
Sophos 4.45.0 2009.10.10 Mal/Behav-170

weitere Informationen
File size: 28672 bytes
MD5 : adac7828ff7e3fb6ee9c799ef19879ac
SHA1 : 9785c2cdcbc4f71c7a84e9ce65a2f84d9906e49c
SHA256: 6fc70d5495ff9aa0b5e9ee913278ec541e06dd7999067fe5f9f0353a11f700b6
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2D05
timedatestamp.....: 0x4AD08192 (Sat Oct 10 14:44:02 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1DC2 0x2000 6.28 75c752e7873e62790fbad1d5ddd98f6a
.rdata 0x3000 0x6BE 0x1000 2.67 0abf9f7c1f1188ad973f9c718810859a
.data 0x4000 0x3F7C 0x1000 0.57 671322569a747718456c0a933153acc7
.rsrc 0x8000 0x360 0x1000 0.89 d77a9cf7943ccb6f469e695c5441c97e
.reloc 0x9000 0x226 0x1000 0.96 11edbda599217f3ffbb18beac7f3594e

( 5 imports )

> advapi32.dll: LookupPrivilegeValueA, RegOpenKeyExA, AdjustTokenPrivileges, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCreateKeyA, RegCloseKey
> kernel32.dll: CreateThread, CloseHandle, GetCurrentProcess, GetCurrentDirectoryA, GlobalUnlock, GlobalLock, SetCurrentDirectoryA, Sleep, GetModuleHandleA, GetProcAddress, GetSystemInfo, lstrcmpiA, GetVersionExA, GetModuleFileNameA
> msvcrt.dll: _stricmp, _strlwr, _adjust_fdiv, malloc, _initterm, free, _splitpath, _ftol, fopen, fseek, fread, fclose, strstr, __2@YAPAXI@Z, __3@YAXPAX@Z, sprintf, _except_handler3, _itoa
> user32.dll: OpenClipboard, SetWindowsHookExA, wsprintfA, CharLowerA, GetSystemMetrics, CloseClipboard, GetClipboardData, EnumClipboardFormats, GetMessageA, CallNextHookEx, GetClientRect, DispatchMessageA, TranslateMessage
> wininet.dll: InternetReadFile, InternetOpenUrlA, InternetOpenA, InternetCloseHandle

( 1 exports )

> AR, GetVer, w
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 384:9sN8NjIibONdrz6DqsVp+xKWdyGeissK:WN8NsibWdHogdVel
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=5ED29D8100A0611B70260072A07F03000287AE6A
PEiD : -
RDS : NSRL Reference Data Set

Alt 13.10.2009, 11:49   #2
handball10
/// Helfer-Team
 
Bitte um Hilfe - Trojaner gefunden! - Standard

Bitte um Hilfe - Trojaner gefunden!


Hallo baerliner,

Zitat:
Servises.exe konnte ich manuell löschen. bei virustotal wurden keine ergebnisse gefunden.
Nicht gut!

Bitte versuche, die Datei wiederherzustellen und lösche bitte nichts mehr, ohne Aufforderung dazu!

Das ganze Zeugs scheint sehr neu zu sein...

Bitte lade folgende Dateien bei uns hoch http://www.trojaner-board.de/54791-a...ner-board.html:
Code:
ATTFilter
C:\WINDOWS\system32\FastNetSrv.exe
C:\WINDOWS\sc.exe
C:\WINDOWS\system32\servises.exe
5ED29D8100A0611B70260072A07F03000287AE6A.dll
C:\WINDOWS\system32\msxm193z.dll
Zitat:
13.10.2009 10:22:24 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse jsactivity.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS

13.10.2009 10:16:55 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse bfkq.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS
Siehst du auch, welcher Prozess es versucht ?

Zitat:
Abgesicherter Modus kann nicht gestartet werden.
Einer deiner Freunde löscht die wichtigsten Teile des Abgesicherten Moduses...

Zitat:
Evtl. von Bart XPE booten und von dort aus versuchen zu löschen?
Bringt meiner Meinung nach nichts!
Dein System ist kompromittiert!
Technische Kompromittierung ? Wikipedia

Auch wenn man das Zeugs löscht kannst du nie mehr zu 100% sicherstellen, dass das System sauber ist.

Lass bitte noch folgende Programme laufen:
Logfiles posten und anschließend geht es hier weiter:
http://www.trojaner-board.de/51262-a...sicherung.html

Viel Erfolg!

Gruß
Handball10
__________________

__________________
Alt 13.10.2009, 13:50   #3
baerliner
 
Bitte um Hilfe - Trojaner gefunden! - Standard

Bitte um Hilfe - Trojaner gefunden!


Hallo habe die Dateien hochgeladen...

"C:\WINDOWS\system32\servises.exe
5ED29D8100A0611B70260072A07F03000287AE6A.dll" habe ich nicht gefunden.

DrWeb macht keinen Sinn, da ich den abgesicherten Modus nicht gestartet bekomme...


"Zitat:
13.10.2009 10:22:24 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse jsactivity.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS

13.10.2009 10:16:55 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse bfkq.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS
Siehst du auch, welcher Prozess es versucht ?"

Kaspersky sagt "b.exe" finde diese Datei aber nicht.

weitere Berichte von Kaspersky:

13.10.2009 13:16:40 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse searchproductkey.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS

13.10.2009 13:16:40 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse interhomesite.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS



Denke ich werde mir ein neuen Lappi zulegen und win 7 ausprobieren Wie kann ich vor so einem Chaos schützen, dachte mit Kaspersky bin ich sicher unterwegs!?!


Scan-Log von GMER:

GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-13 14:44:44
Windows 5.1.2600 Service Pack 3
Running: 2072w625.exe; Driver: C:\DOKUME~1\Stefan\LOKALE~1\Temp\pxtdrpob.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB5C56A72]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB5C5701E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB5C58A82]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB5C58438]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xB5C561E8]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xBA692A20]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB5C5A3E4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xB5C56E1A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xB5C5662A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xB5C5682A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB5C58744]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB5C5A8F0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5C56940]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5C569A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB5C585FA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB5C59EA8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB5C58294]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB5C5634A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xB5C56C40]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB5C5A40E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xB5C56B96]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB5C56A10]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB5C56714]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB5C564F2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB5C5A110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xB5C55E6A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB5C5930C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xB5C55FCC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB5C5A7C0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB5C55C68]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB5C58924]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB5C56F18]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB5C59FA2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB5C5A438]
SSDT d346bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xBA69E230]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xB5C563A0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB5C5A51C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB5C5A648]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB5C59DD4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xB5C56CEA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB5C56D5C]

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP B5C6D1E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP B5C6D5A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntkrnlpa.exe!ZwCallbackReturn + 2C68 80504504 4 Bytes CALL 13060A6A
.text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [1C, A5, C5, B5, 48, A6, C5, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 2FC8 80504864 4 Bytes JMP A4B5C56C
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B85D38AC 5 Bytes JMP 8A731960

---- User code sections - GMER 1.0.15 ----

? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[540] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[540] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
.text C:\Programme\Orb Networks\Orb\bin\OrbTray.exe[1332] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 00413C60 C:\Programme\Orb Networks\Orb\bin\OrbTray.exe (Orb/Orb Networks)
? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2256] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch;
.text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2256] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6E4A9A] sptd.sys
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [B9FC17B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [B9FC17B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [0041680B] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [004168FF] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!SetWindowPos] [004169B1] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA] [0041680B] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos] [004169B1] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow] [004168FF] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow] [004168FF] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos] [004169B1] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8A9861D8

AttachedDevice \FileSystem\Ntfs \Ntfs OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)

Device \Driver\NetBT \Device\NetBT_Tcpip_{06B82E9F-AEB4-46AA-91F2-1B15F5F9D865} 8A3A5980

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \Driver\usbuhci \Device\USBPDO-0 8A7241D8
Device \Driver\usbuhci \Device\USBPDO-1 8A7241D8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A9881D8
Device \Driver\dmio \Device\DmControl\DmConfig 8A9881D8
Device \Driver\dmio \Device\DmControl\DmPnP 8A9881D8
Device \Driver\dmio \Device\DmControl\DmInfo 8A9881D8
Device \Driver\usbuhci \Device\USBPDO-2 8A7241D8
Device \Driver\usbuhci \Device\USBPDO-3 8A7241D8
Device \Driver\usbehci \Device\USBPDO-4 8A6F7980

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A9181D8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A9181D8
Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
Device \Driver\Cdrom \Device\CdRom0 8A743008
Device \FileSystem\Rdbss \Device\FsWrap 8A2A7E18
Device \Driver\Cdrom \Device\CdRom1 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
Device \Driver\Cdrom \Device\CdRom1 8A743008
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A9181D8
Device \Driver\atapi \Device\Ide\IdePort0 8A78B008
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A78B008
Device \Driver\atapi \Device\Ide\IdePort1 8A78B008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 8A78B008
Device \Driver\USBSTOR \Device\000000c2 88A056E0
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3A5980
Device \Driver\USBSTOR \Device\000000c3 88A056E0
Device \Driver\NetBT \Device\NetbiosSmb 8A3A5980
Device \FileSystem\Srv \Device\LanmanServer 8A4A7250

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device \Driver\usbuhci \Device\USBFDO-0 8A7241D8
Device \Driver\NetBT \Device\NetBT_Tcpip_{9B0F382D-04DB-4991-8611-3010DB07AD70} 8A3A5980
Device \Driver\usbuhci \Device\USBFDO-1 8A7241D8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 897201D8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8985F370
Device \Driver\usbuhci \Device\USBFDO-2 8A7241D8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 897201D8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8985F370
Device \Driver\usbuhci \Device\USBFDO-3 8A7241D8
Device \FileSystem\Npfs \Device\NamedPipe 89BFBE58
Device \Driver\Ftdisk \Device\FtControl 8A9181D8
Device \Driver\usbehci \Device\USBFDO-4 8A6F7980
Device \FileSystem\Msfs \Device\Mailslot 8A316C88
Device \Driver\d346prt \Device\Scsi\d346prt1Port2Path0Target0Lun0 88A6A118
Device \Driver\d346prt \Device\Scsi\d346prt1 88A6A118
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8A6F40E0
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8A6F40E0
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8A6F40E0
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8A6F40E0
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8A6F40E0
Device \FileSystem\Cdfs \Cdfs 88F95848
Device \FileSystem\Cdfs \Cdfs 8A57A358

---- Modules - GMER 1.0.15 ----

Module _________ BA5D6000-BA5EE000 (98304 bytes)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1108961956
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 2130347151
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}@DisplayName DAEMON Tools
Reg HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341@ProductName DAEMON Tools

---- EOF - GMER 1.0.15 ----

Danke im Voraus für die Hilfe!
__________________
Alt 13.10.2009, 21:35   #4
handball10
/// Helfer-Team
 
Bitte um Hilfe - Trojaner gefunden! - Standard

Bitte um Hilfe - Trojaner gefunden!


Moin baerliner,

Erstelle bitte noch ein RSIT-Logfile:
http://www.trojaner-board.de/74910-a...tion-tool.html

(Wegen dem neuen Zeugs)

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:
ATTFilter
files to delete: 
C:\WINDOWS\system32\servises.exe
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Zitat:
DrWeb macht keinen Sinn, da ich den abgesicherten Modus nicht gestartet bekomme...
Wo war denn die Rede vom Abgesicherten Modus?
Im "normalen" geht das auch...


Viel Erfolg

Gruß
Handball10

Alt 14.10.2009, 10:45   #5
baerliner
 
Bitte um Hilfe - Trojaner gefunden! - Standard

Bitte um Hilfe - Trojaner gefunden!


Moin Moin,

um das neu aufsetzten meines Systems komm ich wohl nicht herum ???

Ich habe im Tool Hopsassa den Script "C:\WINDOWS\system32\servises.exe" eingefügt. Sobald ich auf Execute drücke kommt folgende Fehlermeldung: "Error invalid Script. A valid Script must begin with a command directive. Aborting excecution!"

Wenn ich DrWeb starte kommt folgende Fehlermeldung:
"59ys5t.exe hat ein Problem festgestellt und muss beendet werden."

RSIT-Logfile:

der Logfile überschreitet die zulässige Zeichenmenge für einen Post... ich habe den Log hochgeladen.


Alt 14.10.2009, 14:04   #6
handball10
/// Helfer-Team
 
Bitte um Hilfe - Trojaner gefunden! - Standard

Bitte um Hilfe - Trojaner gefunden!


moin baerliner,

Zitat:
um das neu aufsetzten meines Systems komm ich wohl nicht herum ???
- nein

Zitat:
Ich habe im Tool Hopsassa den Script "C:\WINDOWS\system32\servises.exe" eingefügt. Sobald ich auf Execute drücke kommt folgende Fehlermeldung: "Error invalid Script. A valid Script must begin with a command directive. Aborting excecution!"
Was hast du dort eingegeben?

Das hier:
Code:
ATTFilter
C:\WINDOWS\system32\servises.exe
oder das hier:
Code:
ATTFilter
files to delete: 
C:\WINDOWS\system32\servises.exe
Falls du das erste eingegeben haben solltest - les bitte nochmal genau die Anleitung von Avenger. Dort steht:

Zitat:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:
ATTFilter
files to delete: 
C:\WINDOWS\system32\servises.exe
Also füge bitte das ein:
Code:
ATTFilter
files to delete: 
C:\WINDOWS\system32\servises.exe
Zitat:
der Logfile überschreitet die zulässige Zeichenmenge für einen Post... ich habe den Log hochgeladen.
Wo hast du es denn hochgeladen ?

Gruß
Handball10
__________________
--> Bitte um Hilfe - Trojaner gefunden!

Alt 14.10.2009, 14:12   #7
baerliner
 
Bitte um Hilfe - Trojaner gefunden! - Standard

Bitte um Hilfe - Trojaner gefunden!


Zitat:
der Logfile überschreitet die zulässige Zeichenmenge für einen Post... ich habe den Log hochgeladen.
Wo hast du es denn hochgeladen ?


ich habe die datei so hochgeladen wie zuletzt die anderen dateien...

Antwort

Themen zu Bitte um Hilfe - Trojaner gefunden!
babylon, bho, bitte um hilfe, bonjour, canon, cpu, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, magix, mein log, mozilla, plug-in, prozesse, realtek, registry, rojaner gefunden, rundll, schutz, security, senden, software, solution, system, trojaner, trojaner gefunden, viele prozesse, windows, windows xp


« Ständige nervende Werbung | word hängt sich auf... »


Ähnliche Themen: Bitte um Hilfe - Trojaner gefunden!


  1. Avira hat Trojaner gefunden. TR/Ransom.Blocker.bemi. Bitte um Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (21)
  2. bitte um Hilfe -> GVU - Trojaner - deo0_sar.exe - Modul konnte nicht gefunden werden
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (13)
  3. Bluescreen, Systemabstürze, Javavirus und Trojaner Spyeye gefunden - Bitte um Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 23.07.2011 (2)
  4. Bitte um Hilfe Trojaner gefunden ! cssrs.exe
    Log-Analyse und Auswertung - 03.04.2011 (10)
  5. Hilfe... trojaner gefunden bitte helft mir
    Log-Analyse und Auswertung - 01.11.2010 (3)
  6. 2 Trojaner gefunden - trotz Löschung Antivir Pers. noch vorhanden. Bitte um Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 10.02.2010 (17)
  7. Bitte um Hilfe, Trojaner gefunden
    Log-Analyse und Auswertung - 24.10.2009 (5)
  8. Adware.BHO gefunden, bitte um Hilfe
    Log-Analyse und Auswertung - 23.06.2009 (6)
  9. Virus gefunden...bitte um hilfe
    Log-Analyse und Auswertung - 10.09.2008 (1)
  10. Trojaner gefunden !!! Bitte um Hilfe ...
    Antiviren-, Firewall- und andere Schutzprogramme - 04.06.2008 (12)
  11. Trojaner Killav.NT auf Vista PC gefunden! Bitte Hilfe zum entfernen!
    Plagegeister aller Art und deren Bekämpfung - 08.04.2008 (13)
  12. Trojaner gefunden. Bitte um Hilfe
    Log-Analyse und Auswertung - 06.04.2008 (9)
  13. Trojaner TR/Dldr.Swizzor.Gen gefunden - bitte um Hilfe!
    Log-Analyse und Auswertung - 29.03.2008 (5)
  14. Habe mehrere Trojaner beim durchlaufen von Bitdefender gefunden,brauche Hilfe bitte .
    Plagegeister aller Art und deren Bekämpfung - 03.01.2008 (11)
  15. Trojaner und Viren gefunden - Bitte um Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 20.10.2007 (5)
  16. Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe
    Log-Analyse und Auswertung - 05.03.2007 (6)
  17. Bitte um Hilfe, Trojaner/Virus gefunden !
    Log-Analyse und Auswertung - 17.09.2005 (15)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte um Hilfe - Trojaner gefunden! - Hallo, ja das habe ich auch bemerkt das mein System verseucht ist. Das Löschen der verdächtigen Programme geht nicht im Win-betrieb. Abgesicherter Modus kann nicht gestartet werden. Evtl. von Bart - Bitte um Hilfe - Trojaner gefunden!...
Archiv
Du betrachtest: Bitte um Hilfe - Trojaner gefunden! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131